PERFORCE change 136080 for review
Gabor Pali
pgj at FreeBSD.org
Sun Feb 24 13:33:43 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=136080
Change 136080 by pgj at disznohal on 2008/02/24 13:32:54
Add initial Hungarian translation of Chapter 28: Firewalls.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#4 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#4 (text+ko) ====
@@ -4,581 +4,790 @@
$FreeBSD: doc/en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.80 2008/01/17 17:50:30 remko Exp $
-->
-<chapter id="firewalls">
+<!-- The FreeBSD Hungarian Documentation Project
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.80 -->
+
+<chapter id="firewalls" lang="hu">
<chapterinfo>
<authorgroup>
<author>
<firstname>Joseph J.</firstname>
<surname>Barbish</surname>
- <contrib>Contributed by </contrib>
+ <contrib>Írta: </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<firstname>Brad</firstname>
<surname>Davis</surname>
- <contrib>Converted to SGML and updated by </contrib>
+ <contrib>SGML formátumra alakította és
+ aktualizálta: </contrib>
</author>
</authorgroup>
</chapterinfo>
- <title>Firewalls</title>
+ <title>Tûzfalak</title>
- <indexterm><primary>firewall</primary></indexterm>
+ <indexterm><primary>tûzfalak</primary></indexterm>
<indexterm>
- <primary>security</primary>
-
- <secondary>firewalls</secondary>
+ <primary>biztonság</primary>
+ <secondary>tûzfalak</secondary>
</indexterm>
<sect1 id="firewalls-intro">
- <title>Introduction</title>
+ <title>Bevezetés</title>
- <para>Firewalls make it possible to filter
- incoming and outgoing traffic that flows through your system.
- A firewall can use one or more sets of <quote>rules</quote> to
- inspect the network packets as they come in or go out of your
- network connections and either allows the traffic through or
- blocks it. The rules of a firewall can inspect one or more
- characteristics of the packets, including but not limited to the
- protocol type, the source or destination host address, and the
- source or destination port.</para>
+ <para>A tûzfalakkal a rendszerünkön
+ keresztülfolyó bejövõ és kimenõ
+ forgalmat tudjuk szûrni. A tûzfalak egy vagy több
+ <quote>szabályrendszer</quote> alapján
+ vizsgálják az éppen érkezõ vagy
+ távozó hálózati csomagokat, és
+ vagy továbbengedik ezeket vagy
+ megállítják. A tûzfalak
+ szabályai a csomagok egy vagy több
+ jellemzõjét veszik szemügyre, amik lehetnek
+ mondjuk a protokoll típusa, a forrás vagy cél
+ hálózati címe, esetleg a forrás- vagy
+ a célport.</para>
- <para>Firewalls can greatly enhance the security of a host or a
- network. They can be used to do one or more of
- the following things:</para>
+ <para>A tûzfalak jelentõs mértékben
+ képesek gyarapítani egy gép vagy egy
+ hálózat védelmét. Leginkább a
+ következõkre tudjuk felhasználni ezeket:</para>
<itemizedlist>
<listitem>
- <para>To protect and insulate the applications, services and
- machines of your internal network from unwanted traffic
- coming in from the public Internet.</para>
+ <para>a belsõ hálózatunkban futó
+ alkalmazások, szolgáltatások, gépek
+ megvédésére és
+ elszigetelésére az internetrõl
+ érkezõ nem kívánt forgalom
+ ellen</para>
</listitem>
<listitem>
- <para>To limit or disable access from hosts of the internal
- network to services of the public Internet.</para>
+ <para>a belsõ hálózatban levõ
+ gépek elérését tudjuk
+ korlátozni vagy letiltani az interneten
+ elérhetõ szolgáltatások
+ felé</para>
</listitem>
<listitem>
- <para>To support network address translation
- (<acronym>NAT</acronym>), which allows your internal network
- to use private <acronym>IP</acronym> addresses and share a
- single connection to the public Internet (either with a
- single <acronym>IP</acronym> address or by a shared pool of
- automatically assigned public addresses).</para>
+ <para>a hálózati címfordítás
+ (Network Address Translation, <acronym>NAT</acronym>)
+ beállításához, ahol a belsõ
+ hálózatunk privát
+ <acronym>IP</acronym>-címeket használnak
+ és egy közös kapcsolaton keresztül
+ érik el az internetet (vagy egyetlen
+ <acronym>IP</acronym>-cím, vagy pedig automatikusan
+ kiosztott publikus címekkel).</para>
</listitem>
</itemizedlist>
- <para>After reading this chapter, you will know:</para>
+ <para>A fejezet elolvasása során
+ megismerjük:</para>
<itemizedlist>
<listitem>
- <para>How to properly define packet filtering rules.</para>
+ <para>hogyan adjuk meg helyesen a csomagok
+ szûrését leíró
+ szabályokat</para>
</listitem>
<listitem>
- <para>The differences between the firewalls
- built into &os;.</para>
+ <para>a &os;-be épített tûzfalak közti
+ különbségeket</para>
</listitem>
<listitem>
- <para>How to use and configure the OpenBSD
- <application>PF</application> firewall.</para>
+ <para>hogyan állítsuk be és
+ használjuk az OpenBSD <application>PF</application>
+ tûzfalát</para>
</listitem>
<listitem>
- <para>How to use and configure
- <application>IPFILTER</application>.</para>
+ <para>hogyan állítsuk be és
+ használjuk az <application>IPFILTER</application>
+ tûzfalat</para>
</listitem>
<listitem>
- <para>How to use and configure
- <application>IPFW</application>.</para>
+ <para>hogyan állítsuk be és
+ használjuk az <application>IPFW</application>
+ tûzfalat</para>
</listitem>
</itemizedlist>
- <para>Before reading this chapter, you should:</para>
+ <para>A fejezet elolvasása elõtt ajánlott:</para>
<itemizedlist>
<listitem>
- <para>Understand basic &os; and Internet concepts.</para>
+ <para>a &os;-hez és az internethez kötõdõ
+ alapvetõ fogalmak ismerete</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="firewalls-concepts">
- <title>Firewall Concepts</title>
+ <title>Röviden a tûzfalakról</title>
<indexterm>
- <primary>firewall</primary>
+ <primary>tûzfalak</primary>
+ <secondary>szabályrendszerei</secondary>
+ </indexterm>
- <secondary>rulesets</secondary>
- </indexterm>
+ <para>A tûzfalak szabályrendszereit alapvetõen
+ kétféleképpen tudjuk
+ összeállítani: <quote>inkluzív</quote>,
+ vagyis megengedõ, illetve <quote>exkluzív</quote>
+ vagyis kizáró módon. Az exkluzív
+ tûzfalak minden forgalmat átengednek, amirõl nem
+ rendelkeznek a tûzfal szabályai. Az inkluzív
+ tûzfalak ennek pontosan az ellenkezõjét teszik.
+ Csak azt a forgalmat engedik át, amirõl van
+ szabály és minden mást blokkolnak.</para>
- <para>There are two basic ways to create firewall rulesets:
- <quote>inclusive</quote> or <quote>exclusive</quote>. An
- exclusive firewall allows all traffic through except for the
- traffic matching the ruleset. An inclusive firewall does the
- reverse. It only allows traffic matching the rules through and
- blocks everything else.</para>
+ <para>Az inkluzív tûzfalak általában
+ biztonságosabbak az exkluzív társaiknál,
+ mivel esetükben jelentõs mértékben
+ visszaszorul az átfolyó nem kívánatos
+ forgalom.</para>
- <para>Inclusive firewalls are generally safer than exclusive
- firewalls because they significantly reduce the risk of allowing
- unwanted traffic to pass through the firewall.</para>
+ <para>A védelem még tovább fokozható az
+ <quote>állapottartó tûzfalak</quote> (stateful
+ firewall) használatával. Ilyenkor a tûzfal
+ szemmel tartja a rajta keresztül megnyitott kapcsolatokat,
+ és vagy csak a már meglevõ kapcsolathoz
+ tartozó forgalmat engedi át vagy nyit egy
+ újat. Az állapottartó tûzfalak
+ hátránya, hogy a <quote>Denial of Service</quote>
+ (<acronym>DoS</acronym>) típusú
+ támadásokkal szemben sokkal
+ sérülékenyebbek, amikor az új
+ kapcsolatok nagyon gyorsan jönnek létre. A
+ legtöbb tûzfal esetében azonban tudjuk
+ vegyíteni az állapottartó és nem
+ állapottartó viselkedést, és ezzel egy
+ ideális beállítást
+ kialakítani.</para>
- <para>Security can be tightened further using a <quote>stateful
- firewall</quote>. With a stateful firewall the firewall keeps
- track of which connections are opened through the firewall and
- will only allow traffic through which either matches an existing
- connection or opens a new one. The disadvantage of a stateful
- firewall is that it can be vulnerable to Denial of Service
- (<acronym>DoS</acronym>) attacks if a lot of new connections are
- opened very fast. With most firewalls it is possible to use a
- combination of stateful and non-stateful behavior to make an
- optimal firewall for the site.</para>
</sect1>
<sect1 id="firewalls-apps">
- <title>Firewall Packages</title>
+ <title>Tûzfalak</title>
+
+ <para>A &os; alaprendszerébe három
+ különbözõ tûzfalat építettek
+ be. Ezek: az <emphasis>IPFILTER</emphasis> (másik
+ nevén <acronym>IPF</acronym>), az
+ <emphasis>IPFIREWALL</emphasis> (más néven
+ <acronym>IPFW</acronym>) és az <emphasis>OpenBSD
+ csomagszûrõje</emphasis> (Packet Filter, azaz
+ <acronym>PF</acronym>). A forgalom
+ szabályozására (vagyis alapvetõen a
+ sávszélesség
+ kihasználtságának
+ vezérlésére) a &os; két
+ beépített csomagot tartalmaz: ez az &man.altq.4;
+ és a &man.dummynet.4;. Általában a Dummynet
+ az <acronym>IPFW</acronym>, míg az <acronym>ALTQ</acronym>
+ a <acronym>PF</acronym> partnere. Az <acronym>IPFILTER</acronym>
+ esetében maga az <acronym>IPFILTER</acronym> végzi a
+ címfordítást és a szûrést,
+ a sávszélességet pedig az
+ <acronym>IPFW</acronym> a &man.dummynet.4;
+ <emphasis>vagy</emphasis> a <acronym>PF</acronym> az
+ <acronym>ALTQ</acronym> segítségével. Az
+ <acronym>IPFW</acronym> és a <acronym>PF</acronym>
+ szabályokkal rendelkezik a rendszerünkbe
+ érkezõ vagy onnan távozó
+ csomagokról, habár megoldásaik teljesen
+ máshogy mûködnek és a szabályok
+ felírási módja is eltér.</para>
- <para>&os; has three different firewall packages built
- into the base system. They are: <emphasis>IPFILTER</emphasis>
- (also known as <acronym>IPF</acronym>),
- <emphasis>IPFIREWALL</emphasis> (also known as <acronym>IPFW</acronym>),
- and <emphasis>OpenBSD's PacketFilter</emphasis> (also known as
- <acronym>PF</acronym>). &os; also has two built in packages for
- traffic shaping (basically controlling bandwidth usage):
- &man.altq.4; and &man.dummynet.4;. Dummynet has traditionally been
- closely tied with <acronym>IPFW</acronym>, and
- <acronym>ALTQ</acronym> with
- <acronym>PF</acronym>. Traffic shaping for <acronym>IPFILTER</acronym> can currently
- be done with <acronym>IPFILTER</acronym> for NAT and filtering and
- <acronym>IPFW</acronym> with &man.dummynet.4;
- <emphasis>or</emphasis> by using <acronym>PF</acronym> with
- <acronym>ALTQ</acronym>.
- IPFW, and PF all use rules to control the access of packets to and
- from your system, although they go about it different ways and
- have different rule syntaxes.</para>
+ <para>A &os; azért tartalmaz egyszerre ennyi tûzfalat,
+ mert az emberek elvárásai és igényei
+ egyénenként eltérnek. Egyikõjük
+ sem tekinthetõ a legjobbnak.</para>
- <para>The reason that &os; has multiple built in firewall packages
- is that different people have different requirements and
- preferences. No single firewall package is the best.</para>
+ <para>A szerzõ egyébként az IPFILTER
+ megoldását részesíti elõnyben,
+ mivel egy hálózati címfordítást
+ alkalmazó környezetben sokkal könnyebb vele
+ megfogalmazni az állapottartó szabályokat,
+ valamint tartalmaz egy beépített FTP proxy-t is,
+ amivel a kimenõ FTP kapcsolatok
+ beállítása tovább
+ egyszerûsödik.</para>
- <para>The author prefers IPFILTER because its stateful rules are
- much less complicated to use in a <acronym>NAT</acronym>
- environment and it has a built in ftp proxy that simplifies the
- rules to allow secure outbound FTP usage.</para>
+ <para>Mivel az összes tûzfal a csomagok
+ fejlécének bizonyos mezõinek alapján
+ dolgozik, ezért a tûzfal
+ szabályrendszerét megalkotó egyénnek
+ teljesen tisztában kell lennie a
+ <acronym>TCP</acronym>/<acronym>IP</acronym>
+ mûködésével, továbbá azzal,
+ hogy ezekben a mezõkben milyen értékek
+ szerepelhetnek és ezeket hogyan használják
+ egy átlagos kapcsolat alatt. Ebben a témában
+ a <ulink url="http://www.ipprimer.com/overview.cfm"></ulink>
+ címen találhatunk egy remek ismertetõt
+ (angolul).</para>
- <para>Since all firewalls are based on inspecting the values of
- selected packet control fields, the creator of the firewall
- rulesets must have an understanding of how
- <acronym>TCP</acronym>/IP works, what the different values in
- the packet control fields are and how these values are used in a
- normal session conversation. For a good explanation go to:
- <ulink
- url="http://www.ipprimer.com/overview.cfm"></ulink>.</para>
</sect1>
<sect1 id="firewalls-pf">
- <title>The OpenBSD Packet Filter (PF) and
+ <title>Az OpenBSD csomagszûrõje (PF) és az
<acronym>ALTQ</acronym></title>
<indexterm>
- <primary>firewall</primary>
-
+ <primary>tûzfalak</primary>
<secondary>PF</secondary>
</indexterm>
- <para>As of July 2003 the OpenBSD firewall software application
- known as <acronym>PF</acronym> was ported to &os; and was made
- available in the &os; Ports Collection; the first release that
- contained <acronym>PF</acronym> as an integrated part of the
- base system was &os; 5.3 in November 2004.
- <acronym>PF</acronym> is a complete, fully featured firewall
- that has optional support for <acronym>ALTQ</acronym> (Alternate
- Queuing). <acronym>ALTQ</acronym> provides Quality of Service
- (<acronym>QoS</acronym>) bandwidth shaping that allows
- guaranteeing bandwidth to different services based on filtering
- rules. The OpenBSD Project does an outstanding job of
- maintaining the PF User's Guide that it will not be made part of
- this handbook firewall section as that would just be duplicated
- effort.</para>
+ <para>2003. júliusában az OpenBSD
+ <acronym>PF</acronym> néven ismert
+ csomagszûrõjét átírták
+ &os;-re és elérhetõvé tették a
+ &os; Portgyûjteményének
+ részeként. A <acronym>PF</acronym> programot
+ beépítetten tartalmazó elsõ
+ kiadás pedig 2004. novemberében a &os; 5.3
+ volt. A <acronym>PF</acronym> egy teljes, mindentudó
+ tûzfal, ami támogatja az ún.
+ <acronym>ALTQ</acronym> (Alternate Queuing, vagyis a
+ <quote>váltóbesorolás</quote>)
+ megoldást. Az <acronym>ALTQ</acronym> lehetõvé
+ teszi a sávszélesség
+ korlátozását a szolgáltatás
+ minõsége (Quality of Service, <acronym>QoS</acronym>)
+ alapján, aminek köszönhetõen a
+ különbözõ szolgáltatások a
+ szûrési szabályok mentén garanált
+ sávszélességhez juthatnak. Az OpenBSD
+ projekt kiváló munkát végez a PF
+ felhasználói útmutatójának
+ karbantartásával, amit így most nem is
+ teszük be a kézikönyvbe, mivel ezzel csak
+ feleslegesen másolnánk.</para>
- <para>More info can be found at the PF for &os; web site: <ulink
- url="http://pf4freebsd.love2party.net/"></ulink>.</para>
+ <para>A PF &os;-n történõ
+ használatáról a <ulink
+ url="http://pf4freebsd.love2party.net/"></ulink> honlapon
+ olvashatunk többet (angolul).</para>
<sect2>
- <title>Enabling PF</title>
+ <title>A PF engedélyezése</title>
- <para>PF is included in the basic &os; install for versions newer
- than 5.3 as a separate run time loadable module. The system
- will dynamically load the PF kernel loadable module when the
- rc.conf statement <literal>pf_enable="YES"</literal> is used.
- The loadable module was created with &man.pflog.4; logging
- enabled.</para>
+ <para>A PF a &os; 5.3 verziója utáni
+ kiadásokban az alaprendszer része, amit a rendszer
+ mûködése közben egy külön modul
+ betöltésével aktiválhatunk. Ha az
+ <filename>rc.conf</filename> állományban megadjuk
+ a <literal>pf_enable="YES"</literal> sort, akkor a rendszer
+ magától be is tölti a PF-hez tartozó
+ rendszermag modult. Ez a betölthetõ modul
+ egyébként még a &man.pflog.4;
+ felületen keresztüli naplózást is
+ engedélyezi.</para>
<note>
- <para>The module assumes the presence of <literal>options
- INET</literal> and <literal>device bpf</literal>. Unless
- <literal>NOINET6</literal> for &os; prior to 6.0-RELEASE and
- <literal>NO_INET6</literal> for later releases (for example in
- &man.make.conf.5;) was defined during the build, it also
- requires <literal>options INET6</literal>.</para>
+ <para>A modul feltételezi a <literal>options
+ INET</literal> és <literal>device bpf</literal> sorok
+ jelenlétét. Hacsak nem adtuk meg &os;
+ 6.0-RELEASE elõtti verzióban a
+ <literal>NOINET6</literal>, ill. az utáni
+ következõ verziókban a
+ <literal>NO_INET6</literal> beállítást
+ (például a &man.make.conf.5;
+ állományban) a rendszer
+ fordítására vonatkozóan, akkor a
+ <literal>options INET6</literal>
+ beállításra is szükség
+ lesz.</para>
</note>
- <para>Once the kernel module is loaded or the kernel is statically
- built with PF support, it is possible to enable or disable
- <application>pf</application> with the <command>pfctl</command>
- command.</para>
+ <para>Ahogy betöltõdött a modul, vagy ha már
+ eleve a rendszermagba építettük a PF
+ támogatását, a
+ <application>pf</application> használatát a
+ <command>pfctl</command> paranccsal tudjuk engedélyezni
+ vagy letiltani.</para>
- <para>This example demonstrates how to enable
- <application>pf</application>:</para>
+ <para>Ebben a példában a
+ <application>pf</application> engedélyezését
+ láthatjuk:</para>
<screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
- <para>The <command>pfctl</command> command provides a way to work
- with the <application>pf</application> firewall. It is a good
- idea to check the &man.pfctl.8; manual page to find out more
- information about using it.</para>
+ <para>A <command>pfctl</command> parancs
+ segítségével könnyedén lehet
+ irányítani a <application>pf</application>
+ mûködését. A
+ használatáról többet úgy
+ tudhatunk meg, ha elolvassuk a &man.pfctl.8; man oldalt.</para>
+
</sect2>
<sect2>
- <title>Kernel options</title>
+ <title>A rendszermag beállításai</title>
<indexterm>
- <primary>kernel options</primary>
-
+ <primary>a rendszermag
+ beállításai</primary>
<secondary>device pf</secondary>
</indexterm>
<indexterm>
- <primary>kernel options</primary>
-
+ <primary>a rendszermag
+ beállításai</primary>
<secondary>device pflog</secondary>
</indexterm>
<indexterm>
- <primary>kernel options</primary>
-
+ <primary>a rendszermag
+ beállításai</primary>
<secondary>device pfsync</secondary>
</indexterm>
- <para>It is not a mandatory requirement that you enable PF by
- compiling the following options into the &os; kernel. It is
- only presented here as background information. Compiling PF
- into the kernel causes the loadable module to never be
- used.</para>
+ <para>Egyáltalán nem fontos a PF
+ támogatását beépíteni a
+ rendszermagba. Az itt szereplõ információk
+ csupán kiegészítésként
+ szerepelnek. Ha a PF használatát beletesszük
+ a rendszermagba, akkor a modulra már nincs
+ szükségünk.</para>
- <para>Sample kernel config PF option statements are in the
- <filename>/usr/src/sys/conf/NOTES</filename> kernel source and
- are reproduced here:</para>
+ <para>A rendszermag forrásai között
+ található
+ <filename>/usr/src/sys/conf/NOTES</filename>
+ állományban a PF
+ beállításaira vonatkozó
+ utasítások így foglalhatóak
+ össze:</para>
<programlisting>device pf
device pflog
device pfsync</programlisting>
- <para><literal>device pf</literal> enables support for the
- <quote>Packet Filter</quote> firewall.</para>
+ <para>A <literal>device pf</literal> engedélyezi a
+ csomagszûrõ tûzfalat.</para>
+
+ <para>A <literal>device pflog</literal> megadásával
+ keletkezik egy &man.pflog.4; pszeudo hálózati
+ eszköz, amivel egy &man.bpf.4; leíróra
+ érkezõ forgalmat tudunk naplózni. A
+ &man.pflogd.8; démon használható
+ ezután tõle származó naplózott
+ adatok rögzítésére.</para>
- <para><literal>device pflog</literal> enables the optional
- &man.pflog.4; pseudo network device which can be used to log
- traffic to a &man.bpf.4; descriptor. The &man.pflogd.8; daemon
- can be used to store the logging information to disk.</para>
+ <para>A <literal>device pfsync</literal> engedélyezi a
+ &man.pfsync.4; pszeudo hálózati eszköz
+ létrejöttét, ami az ún.
+ <quote>állapotváltások</quote>
+ megfigyelésére alkalmas. Mivel ez nem
+ része a betölthetõ modulnak, ezért egy
+ saját rendszermagot kell készíteni a
+ használatához.</para>
- <para><literal>device pfsync</literal> enables the optional
- &man.pfsync.4; pseudo network device that is used to monitor
- <quote>state changes</quote>. As this is not part of the
- loadable module one has to build a custom kernel to use
- it.</para>
+ <para>Ezek a beállítások csak akkor
+ lépnek érvénybe, ha fordítunk
+ velük egy saját rendszermagot és
+ telepítjük azt.</para>
- <para>These settings will take effect only after you have built
- and installed a kernel with them set.</para>
</sect2>
<sect2>
- <title>Available rc.conf Options</title>
+ <title>Az <filename>rc.conf</filename> állományban
+ elérhetõ beállítások</title>
+
+ <para>Az <filename>/etc/rc.conf</filename>
+ állományba a következõket kell
+ betennünk ahhoz, hogy a PF a rendszer
+ indítása során
+ aktivizálódjon:</para>
- <para>You need the following statements in
- <filename>/etc/rc.conf</filename> to activate PF at boot
- time:</para>
+ <programlisting>pf_enable="YES" # a PF engedélyezése (a modul betöltése, ha kell)
+pf_rules="/etc/pf.conf" # a pf szabályait tartalmazó állomány
+pf_flags="" # a pfctl indításához szükséges további paraméterek
+pflog_enable="YES" # a pflogd(8) elindítása
+pflog_logfile="/var/log/pflog" # hol tartsa a pflogd az naplóit
+pflog_flags="" # a pflogd indításához szükséges paraméterek</programlisting>
- <programlisting>pf_enable="YES" # Enable PF (load module if required)
-pf_rules="/etc/pf.conf" # rules definition file for pf
-pf_flags="" # additional flags for pfctl startup
-pflog_enable="YES" # start pflogd(8)
-pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
-pflog_flags="" # additional flags for pflogd startup</programlisting>
+ <para>Ha a tûzfalunk mögött egy helyi
+ hálózat is meghúzódik, akkor az ott
+ levõ gépek számára valamilyen
+ módon tudni kell továbbítani a csomagokat
+ vagy címfordítást kell végezni,
+ így ez a beállítás is
+ mindenképpen kelleni fog:</para>
- <para>If you have a LAN behind this firewall and have to forward
- packets for the computers in the LAN or want to do NAT, you
- have to enable the following option as well:</para>
+ <programlisting>gateway_enable="YES" # az átjárói funkciók engedélyezése</programlisting>
- <programlisting>gateway_enable="YES" # Enable as LAN gateway</programlisting>
</sect2>
<sect2>
- <title>Enabling <acronym>ALTQ</acronym></title>
+ <title>Az <acronym>ALTQ</acronym> engedélyezése</title>
- <para><acronym>ALTQ</acronym> is only available by compiling the
- options into the &os; Kernel. <acronym>ALTQ</acronym> is not
- supported by all of the available network card drivers. Please
- see the &man.altq.4; manual page for a list of drivers that are
- supported in your release of &os;. The following options will
- enable <acronym>ALTQ</acronym> and add additional
- functionality.</para>
+ <para>Az <acronym>ALTQ</acronym> kizárólag csak
+ úgy érhetõ el, ha belefordítjuk a &os;
+ rendszermagjába. Az <acronym>ALTQ</acronym> nem minden
+ hálózati kártya részérõl
+ támogatott. Az &man.altq.4; man oldalán
+ megtalálhatjuk a &os; aktuális
+ kiadásában szereplõ támogató
+ meghajtók listáját. A következõ
+ beállítások az <acronym>ALTQ</acronym>
+ további lehetõségeit igyekeznek
+ engedélyezni.</para>
<programlisting>options ALTQ
-options ALTQ_CBQ # Class Bases Queuing (CBQ)
-options ALTQ_RED # Random Early Detection (RED)
-options ALTQ_RIO # RED In/Out
-options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
-options ALTQ_PRIQ # Priority Queuing (PRIQ)
-options ALTQ_NOPCC # Required for SMP build</programlisting>
+options ALTQ_CBQ # osztályozás alapú besorolás (Class Bases Queuing, CBQ)
+options ALTQ_RED # véletlen korai észlelés (Random Early Detection, RED)
+options ALTQ_RIO # RED befele/kifele
+options ALTQ_HFSC # hiearchikus csomagütemezõ (Hierarchical Packet Scheduler, HFSC)
+options ALTQ_PRIQ # prioritásos besorolás (Priority Queuing, PRIQ)
+options ALTQ_NOPCC # az SMP esetén kell</programlisting>
+
+ <para>Az <literal>options ALTQ</literal> az
+ <acronym>ALTQ</acronym> rendszert engedélyezi.</para>
- <para><literal>options ALTQ</literal> enables the
- <acronym>ALTQ</acronym> framework.</para>
+ <para>Az <literal>options ALTQ_CBQ</literal> engedélyezi a
+ osztályozás alapú besorolást (Class
+ Based Queuing, <acronym>CBQ</acronym>). A
+ <acronym>CBQ</acronym> használatával a
+ kapcsolatunkhoz tartozó
+ sávszélességet
+ különbözõ osztályokra vagy sorokra
+ tudjuk szedni, és a szûrési
+ szabályoknak megfelelõen osztályozni
+ segítségükkel a forgalmat.</para>
- <para><literal>options ALTQ_CBQ</literal> enables Class Based
- Queuing (<acronym>CBQ</acronym>). <acronym>CBQ</acronym>
- allows you to divide a connection's bandwidth into different
- classes or queues to prioritize traffic based on filter
- rules.</para>
+ <para>Az <literal>options ALTQ_RED</literal> a véletlen
+ korai észlelés (Random Early Detection,
+ <acronym>RED</acronym>) használatát
+ engedélyezi. A <acronym>RED</acronym> a
+ hálózati forgalomban keletkezõ
+ torlódások elkerülésére
+ alkalmas. A <acronym>RED</acronym> ezt a
+ problémát úgy oldja meg, hogy méri a
+ sorok hosszát és összeveti a
+ hozzátartozó minimális és
+ maximális küszöbértékekkel. Ha a
+ sor hossza meghaladja a számára elõírt
+ maximális értéket, akkor az új
+ csomagokat eldobja. Nevéhez hûen a
+ <acronym>RED</acronym> az eldobásra ítélt
+ csomagokat véletlenszerûen választja
+ ki.</para>
- <para><literal>options ALTQ_RED</literal> enables Random Early
- Detection (<acronym>RED</acronym>). <acronym>RED</acronym> is
- used to avoid network congestion. <acronym>RED</acronym> does
- this by measuring the length of the queue and comparing it to
- the minimum and maximum thresholds for the queue. If the
- queue is over the maximum all new packets will be dropped.
- True to its name, <acronym>RED</acronym> drops packets from
- different connections randomly.</para>
+ <para>Az <literal>options ALTQ_RIO</literal> engedélyezi a
+ <acronym>RED</acronym> használatát mind a
+ két irányba, tehát be- és
+ kifelé.</para>
- <para><literal>options ALTQ_RIO</literal> enables Random Early
- Detection In and Out.</para>
+ <para>Az <literal>options ALTQ_HFSC</literal> a pártatlan
+ hierachikus szolgáltatási görbe alapú
+ csomagütemezõt (Hierarchical Fair Service Curve Packet
+ Scheduler, <acronym>HFSC</acronym>) engedélyezi. Vele
+ kapcsolatban a <ulink
+ url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>
+ címen találhatunk bõvebben
+ olvasnivalót (angolul).</para>
- <para><literal>options ALTQ_HFSC</literal> enables the
- Hierarchical Fair Service Curve Packet Scheduler. For more
- information about <acronym>HFSC</acronym> see: <ulink
- url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para>
+ <para>Az <literal>options ALTQ_PRIQ</literal> a prioritásos
+ besorolást (Priority Queuing, <acronym>PRIQ</acronym>)
+ teszi elérhetõvé. A <acronym>PRIQ</acronym>
+ mindig elsõként a nagyobb értékû
+ sorban levõ forgalmat továbbítja.</para>
- <para><literal>options ALTQ_PRIQ</literal> enables Priority
- Queuing (<acronym>PRIQ</acronym>). <acronym>PRIQ</acronym>
- will always pass traffic that is in a higher queue
- first.</para>
+ <para>Az <literal>options ALTQ_NOPCC</literal> az
+ <acronym>ALTQ</acronym> <acronym>SMP</acronym>, vagyis
+ többprocesszoros támogatását adja meg.
+ Ilyen típusú rendszerekben ez
+ kötelezõ.</para>
- <para><literal>options ALTQ_NOPCC</literal> enables
- <acronym>SMP</acronym> support for <acronym>ALTQ</acronym>.
- This option is required on <acronym>SMP</acronym>
- systems.</para>
</sect2>
<sect2>
- <title>Creating Filtering Rules</title>
+ <title>A szûrési szabályok
+ megfogalmazása</title>
- <para>The Packet Filter reads its configuration rules from the
- &man.pf.conf.5; file and it modifies, drops or passes packets
- according to the rules or definitions specified there. The &os;
- installation comes with a default
- <filename>/etc/pf.conf</filename> which contains useful examples
- and explanations.</para>
+ <para>A csomagszûrõ a &man.pf.conf.5;
+ állományból olvassa be a szabályokat
+ és a benne szereplõ szabályok vagy
+ definíciók alapján módosítja,
+ eldobja vagy átengedi a csomagokat. A &os;
+ telepítésében alapértelmezés
+ szerint az <filename>/etc/pf.conf</filename>
+ állomány látja el ennek szerepét,
+ ami számos hasznos példát és
+ magyarázatot tartalmaz.</para>
- <para>Although &os; has its own <filename>/etc/pf.conf</filename>
- the syntax is the same as one used in OpenBSD. A great
- resource for configuring the <application>pf</application>
- firewall has been written by OpenBSD team and is available at
- <ulink url="http://www.openbsd.org/faq/pf/"></ulink>.</para>
+ <para>Noha a &os; saját <filename>/etc/pf.conf</filename>
+ állománnyal rendelkezik, a
+ felépítése mégis
+ tökéletesen megegyezik az OpenBSD-ben
+ használatossal. A <application>pf</application>
+ tûzfal beállításával az OpenBSD
+ csapat által írt nagyszerû írás
+ foglalkozik, ami a <ulink
+ url="http://www.openbsd.org/faq/pf/"></ulink> címrõl
+ érhetõ el (angolul).</para>
<warning>
- <para>When browsing the pf user's guide, please keep in mind that
- different versions of &os; contain different versions of pf. The
- <application>pf</application> firewall in &os; 5.X is at the level
- of OpenBSD version 3.5 and in &os; 6.X is at the level of OpenBSD
- version 3.7.</para>
+ <para>A <application>pf</application> felhasználói
+ útmutatóját olvasgatva azonban soha nem
+ szabad elfelejtenünk, hogy &os; egyes változatai a
+ <application>pf</application> különbözõ
+ verzióit tartalmazzák. A &os; 5.X
+ ágában az OpenBSD 3.5
+ <application>pf</application> tûzfalát, míg
+ a &os; 6.X változataiban az OpenBSD 3.7 szerinti
+ verzióját találjuk.</para>
</warning>
- <para>The &a.pf; is a good place to ask questions about
- configuring and running the <application>pf</application>
- firewall. Do not forget to check the mailing list archives
- before asking questions.</para>
+ <para>A &a.pf; kitûnõ hely a
+ <application>pf</application>
+ beállításával és
+ mûködtetésével kapcsolatos
+ kérdések feltevésére. Viszont
+ mielõtt itt kérdeznénk, ne felejtsük el
+ átnézni a levelezési lista
+ archívumait sem.</para>
+
</sect2>
</sect1>
<sect1 id="firewalls-ipf">
- <title>The IPFILTER (IPF) Firewall</title>
+ <title>Az IPFILTER (IPF) tûzfal</title>
<indexterm>
- <primary>firewall</primary>
-
+ <primary>tûzfalak</primary>
<secondary>IPFILTER</secondary>
</indexterm>
<note>
- <para>This section is work in progress. The contents might
- not be accurate at all times.</para>
+ <para>Ez a szakasz fejlesztés alatt áll. Ennek
+ megfelelõen a tartalma nem minden esetben pontos.</para>
</note>
- <para>The author of IPFILTER is Darren Reed. IPFILTER is not
- operating system dependent: it is an open source application and
- has been ported to &os;, NetBSD, OpenBSD, &sunos;, HP/UX, and
- &solaris; operating systems. IPFILTER is actively being
- supported and maintained, with updated versions being released
- regularly.</para>
+ <para>Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem
+ kötõdik egyik rendszerhez sem: ez egy olyan nyílt
+ forráskódú alkalmazás, amit
+ átírtak &os;, NetBSD, OpenBSD, &sunos;, HP/UX
+ és &solaris; operációs rendszerekre. Az
+ IPFILTER karbantartása és támogatása
+ pillanatnyilag is aktív, folyamatosan jelennek meg
+ újabb változatai.</para>
- <para>IPFILTER is based on a kernel-side firewall and
- <acronym>NAT</acronym> mechanism that can be controlled and
- monitored by userland interface programs. The firewall rules can
- be set or deleted with the &man.ipf.8; utility. The
- <acronym>NAT</acronym> rules can be set or deleted with the
- &man.ipnat.1; utility. The &man.ipfstat.8; utility can print
- run-time statistics for the kernel parts of IPFILTER. The
- &man.ipmon.8; program can log IPFILTER actions to the system log
- files.</para>
+ <para>Az IPFILTER egy rendszermag oldalán
+ mûködõ tûzfalazási és egy
+ címfordítási mechanizmusra alapszik, amit
+ felhasználói programokkal tudunk felügyelni
+ és vezérelni. A tûzfal szabályai a
+ &man.ipf.8; segédprogrammal
+ állíthatóak be vagy
+ törölhetõek. A hálózati
+ címfordításra vonatkozó
+ szabályokat a &man.ipnat.1; segédprogrammal
+ állíthatjuk be vagy törölhetjük. A
+ &man.ipfstat.8; segédprogram képes futás
+ közben statisztikákat készíteni az
+ IPFILTER rendszermagban elhelyezkedõ részeinek
+ viselkedésérõl. A &man.ipmon.8; program pedig
+ az IPFILTER cselekvéseit képes a
+ rendszernaplókba feljegyezni.</para>
- <para>IPF was originally written using a rule processing logic of
- <quote>the last matching rule wins</quote> and used only
- stateless type of rules. Over time IPF has been enhanced to
- include a <quote>quick</quote> option and a stateful <quote>keep
- state</quote> option which drastically modernized the rules
- processing logic. IPF's official documentation covers the legacy
- rule coding parameters and the legacy rule file processing
- logic. The modernized functions are only included as additional
- options, completely understating their benefits in producing a
- far superior secure firewall.</para>
+ <para>Az IPF eredetileg olyan szabályfeldolgozási
+ módszer szerint készült, amiben <quote>az
+ utolsó egyezõ szabály nyer</quote> és
+ csak állapotnélküli szabályokat ismert.
+ Az idõ múlásával az IPF
+ részévé vált a <quote>quick</quote>
+ opció és a <quote>keep state</quote> opción
+ keresztül az állapottartás is, melyek
+ drámai mértékben
+ korszerûsítették a szabályok
+ feldolgozásának elvét. Az IPF hivatalos
+ dokumentációja tartalmazza a régi
+ szabályok létrehozását és azok
+ feldolgozásának leírását. A
+ korszerûsített funkciók csak
+ kiegészítésképpen jelennek meg,
+ és az általuk felkínált
+ elõnyök megértése egy sokkal magasabb
+ szintû és biztonságosabb tûzfal
+ megépítését teszik
+ lehetõvé.</para>
- <para>The instructions contained in this section are based on
- using rules that contain the <quote>quick</quote> option and the
- stateful <quote>keep state</quote> option. This is the basic
- framework for coding an inclusive firewall rule set.</para>
+ <para>A szakaszban szereplõ utasításokban olyan
+ szabályok szerepelnek, amik kihasználják a
+ <quote>quick</quote> és <quote>keep state</quote>
+ opciókat. Ezek az inkluzív
+ tûzfalszabályok létrehozásának
+ alapjai.</para>
- <!-- XXX: something like this already in
- <xref linkend="firewalls-concepts">
- AND: the para below is repeated 3 times in this chapter-->
+ <para>Az inkluzív tûzfalak csak olyan csomagokat
+ engednek keresztül, amik megfelelnek a szabályoknak.
+ Ezen módon képesek vagyunk megmondani, hogy a
+ tûzfal mögül milyen szolgáltatások
+ érhetõek el az interneten és
+ segítségével azt is megadhatjuk, hogy az
+ internetrõl a belsõ hálózatunkon milyen
+ szolgáltatásokat érhetnek el. A tûzfal
+ alapból minden mást visszautasít és
+ naplóz. Az inkluzív tûzfalak sokkal de sokkal
+ megbízhatóbbak az exkluzív
+ tûzfalaknál, ezért itt most csak ilyenekkel
+ foglalkozunk.</para>
- <para>An inclusive firewall only allows packets matching the rules
- to pass through. This way you can control what services can
- originate behind the firewall destined for the public Internet
- and also control the services which can originate from the
- public Internet accessing your private network. Everything else
- is blocked and logged by default design. Inclusive firewalls are
- much, much more secure than exclusive firewall rule sets and is
- the only rule set type covered herein.</para>
+ <para>A régi típusú szabályokról
+ a <ulink
+ url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
+ és <ulink
+ url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>
+ címeken olvashatunk (angolul).</para>
- <para>For detailed explanation of the legacy rules processing
- method see: <ulink
- url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
- and <ulink
- url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para>
+ <para>Az IPF gyakran ismételt kérdései a <ulink
+ url="http://www.phildev.net/ipf/index.html"></ulink> címen
+ érhetõek el (angolul).</para>
- <para>The IPF FAQ is at <ulink
- url="http://www.phildev.net/ipf/index.html"></ulink>.</para>
-
- <para>A searchable archive of the open-source IPFilter mailing list is
- available at <ulink
- url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.</para>
+ <para>A nyílt forrású IPFilter
+ levelezési list kereshetõ archívumait a <ulink
+ url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>
+ címen találjuk (angolul).</para>
<sect2>
- <title>Enabling IPF</title>
+ <title>Az IPF engedélyezése</title>
<indexterm>
<primary>IPFILTER</primary>
+ <secondary>engedélyezés</secondary>
+ </indexterm>
- <secondary>enabling</secondary>
- </indexterm>
+ <para>Az IPF megtalálható a &os;
+ alaptelepítésében mint menet közben
+ külön betölthetõ modul. Ha az
+ <filename>rc.conf</filename> állományba
+ beírjuk a <literal>ipfilter_enable="YES"</literal> sort,
+ akkor ez a modul dinamikusan betöltõdik. A
+ betölthetõ modul alapból naplóz
+ és a <literal>default pass all</literal>
+ beállítást tartalmazza. Ha helyette a
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list